Hoher Schutz und garantierte Sicherheit. Damit wirbt die US-Firma Verkada. Das Softwareunternehmen entwickelte ein ausgeklügeltes System für Überwachungskameras. Weltweit vertrauten Gefängnisse, Spitäler, Schulen und sogar Tesla dem Start-up – und wurden bitter enttäuscht.
Letzte Woche wurde das System vom Schweizer Hacker-Kollektiv «Advanced Persistent Threat 69420» gehackt. Sie verschafften sich Zugang zum System und bekamen so Zugriff auf über 150'000 Kameras weltweit. Kopf des Kollektivs ist Till bzw. Tillie Kottmann (21) aus Luzern. Keine Unbekannte. Die 21-Jährige äussert sich in den Medien immer wieder zu Sicherheitsfragen und kandidierte letztes Jahr für die Jungsozialisten für den Grossstadtrat in Luzern. Nun hat sie eine US-Sicherheitsfirma vorgeführt.
Für den Kamera-Coup brauchte es aber keinen Super-Hacker, erklärt Cyrill Brunschwiler von der Firma Compass Security in Jona SG. Er ist Berufshacker. Seine Firma klopft die IT-Sicherheit von Unternehmen auf Schwachstellen ab. Nichts anderes habe das Hacker-Kollektiv gemacht. «In diesem Fall wurde die Schwachstelle entdeckt und man wollte der Firma lieber eins auswischen, als den Dialog zu suchen. Wir nennen das Hacktivismus.»
Hackerin dürfte selber überrascht gewesen sein
Und offenbar sei es in diesem Fall nicht besonders anspruchsvoll gewesen die Schwachstelle zu finden. «Die Gruppe behauptet, dass sie den Zugang über ein internes Entwicklungssystem von Verkada bekam. Dort waren kritische Zugangsdaten abgelegt», sagt der IT Security Analyst zu BLICK. Das Problem: Das Entwicklungssystem war für jeden im Internet einsehbar. Also auch die sensiblen Zugangsdaten. Damit war es möglich sich als Administrator im System anzumelden und so Zugriff auf die Kameras zu bekommen. Eine Berechtigung, die nur zirka 100 Angestellte bei Verkada haben.
Eine so eklatante Sicherheitslücke dürfe eigentlich gar nicht vorkommen. «Besonders, wenn es sich um eine Firma im Sicherheitssektor handelt. Stellen Sie sich nur mal vor, eine Bank entwickelt ein neues System und die Kontodaten des produktiven Systems wären zugänglich.»
Etwas Computer-Wissen bräuchte es aber schon, um diese skandalöse Schwachstelle zu finden. Brunschwiler zu BLICK: «Für einen Informatiker ist das machbar.» Er glaubt, dass Kottmann wohl selber überrascht gewesen sein dürfte, als sie die Zugangsdaten entdeckte und bemerkte, was damit möglich ist.
«Ein solches Masterpassword darf gar nicht erst existieren»
Auch für den Schweizer Chaos Computer Club (CCC) ist diese Sicherheitslücke ein Skandal. Dass es überhaupt Zugangsdaten gibt, um damit Zugriff auf alle Kameras zu bekommen, sei ungeheuerlich. «Ein solches Masterpassword darf gar nicht erst existieren», sagt CCC-Sprecher Volker Birk zu BLICK. Wäre das einem CCC-Mitglied aufgefallen, wäre dies ebenfalls öffentlich gemacht worden. «Es wäre ja unverantwortlich, das nicht zu tun.»
Dass es überhaupt zu solchen Hacks kommt, sei nur eine Frage der Zeit. «Wir hatten solche Fälle in der Vergangenheit, und wir werden mehr solche Fälle in der Zukunft sehen. Wer eine Kamera installiert, die ihre Daten ‹in die Cloud› überträgt, und die vom Internet aus erreichbar ist, ist potenziell anfällig für so etwas.»
FBI ermittelt gegen Kottmann
Der Verkada-Hack dürfte für die Schweizerin nicht ohne Folgen bleiben. Inzwischen hat sich das FBI eingeschaltet. Die Kantonspolizei Luzern durchsuchte am Freitag die Wohnung der Informatikerin und stellte mehrere elektronische Geräte sicher. Bei der Kantonspolizei nachgefragt, verweist die Behörde gleich an das Bundesamt für Justiz (BJ). Auf Anfrage bestätigt BJ-Sprecher Raphael Frei, «dass die Schweiz in dieser Sache ein Rechtshilfeersuchen aus den USA erhalten hat.»
Kottmann wird unter anderem Betrug und der unbefugte Zugriff auf geschützte Computer vorgeworfen. Auf Anfrage von BLICK will sich die 21-Jährige bislang nicht zum Kamera-Coup äussern.